如何通过IDM进行统一权限

IDM身份管理平台在当今企业信息化建设中扮演着至关重要的角色，它不仅仅关乎用户身份的管理，更牵涉到对企业内部各种资源的合理分配和访问控制。其中，统一权限是 IDM 的一个核心概念，它通过集中管理用户的身份和访问权限，确保企业内部的信息系统能够高效、安全地运行。

IDM系统的核心目标之一是实现对用户身份的全面管控，通过统一权限，企业能够在一个集中的平台上管理和维护用户的身份信息，确保每位用户都获得适当的权限，从而提高了整体安全性。统一权限的应用使得企业能够更精准地分配和调整权限，有效降低了潜在的风险，为企业信息资产提供了可靠的保护。

1总体说明

统一权限是5A管控中重要的功能之一，其中主要工作就是角色的对接，角色是统一权限管控的基础，围绕角色进行对接是集成的前提，同时针对业务系统的特性，支持相应的人员授权、组织授权，实现权限的适配性，以此满足在系统集成的过程中针对不同系统权限的兼容，保证各系统间顺利集成。

1.1业务架构

整体架构以IDM+ESB为主，通过ESB实现IDM相关数据的同步分发，整体架构图如下：

1.以HR为数据源头，提供组织、岗位、人员数据，由ESB扩展组织、岗位、人员的数据提供服务，再通过ESB的应用集成同步至IDM平台。

2.模拟下游OA系统，由ESB扩展组织人员接收服务（参考SMC的组织人员接收服务），IDM的组织、人员通过ESB应用集成自动下发OA系统。

3.IDM的组织、人员在分发时自动分发SMC的系统组织、人员（SMC提供组织人员的接收服务）。

4.在IDM平台配置角色以及对应资源菜单权限，通过手动生成任务、同步的方式同步至SMC系统资源权限中（SMC提供角色权限的接收服务）。

1.2集成架构

业务系统把各自的角色和资源导入至 IDM 系统后，进行数据初始化。此后，IDM成为角色信息的统一管理中心，通过角色和权限的分发，将这些关键信息传递至ESB。ESB在此扮演分发权限的关键角色，负责将角色和权限传递至 ERP、财务系统、销售系统等各个系统。这一流程实现了由 IDM 对权限进行配置和管控的全面掌控，同时借助 ESB 实现了高效而可靠的权限分发，确保各个系统间权限的一致性和准确性，本篇文档介绍的是通过ESB与IDM实现统一权限。

1.3统一权限

统一权限是对各个业务系统的功能资源进行管控，权限资源授权体系包括组织、标准角色、实际角色、用户。目前可以通过标准角色管理用户、组织关联标准角色后会生成实际角色。总体来说，IDM身份管理平台通过统一用户管理、统一身份认证、统一授权管理以及安全审计要求，能够实现各业务系统的统一登录和集中访问。

2功能介绍

统一权限功能相关的功能模块主要分为标准角色、实际角色、权限资源和授权管理，下面由角色管理、权限资源以及授权管理三个方面进行介绍。

2.1角色管理

1.标准角色：

主要对各个应用系统的标准角色信息进行管理，可以根据不同系统进行选择。

页面左侧为标准角色树形菜单，右侧包含标准角色明细页面和关联用户信息列表，通过切换应用系统可以查看不同应用系统下的标准角色信息，支持接口导入和Excel导入功能。

2.实际角色：

主要对各个应用系统的实际角色信息进行管理，可以根据不同系统进行选择。

建立组织与标准角色之间的关联关系，页面左侧为组织树形菜单，右侧为所选组织下实际角色信息列表，通过切换应用系统可以查看不同应用系统下的实际角色信息。

2.2权限资源

1.功能资源：

功能资源页面左侧为各个应用系统所对应的功能菜单，通过切换应用系统来控制左侧的功能树菜单，右侧包含“基本信息”和“控制器列表”两个标签，基本信息显示所选树节点的功能明细信息，控制器列表显示与所选树节点关联的控制器和相关操作信息。

2.数据资源：

数据资源主要对各个应用系统下的通用枚举类数据进行管理，页面左侧为数据分组树形菜单（可编辑）。

右侧为该分组下的数据列表信息，可以通过切换应用系统来显示不同应用系统下的数据信息。

3.接口资源：

接口资源主要是对各个应用系统下的接口信息进行管理，页面左侧为接口分组树形菜单（可编辑），右侧为该分组下的接口列表信息，可以通过切换应用系统来显示不同应用系统下的接口信息。

2.3授权管理

授权管理模块主要为各个应用系统的不同权限资源建立和标准角色、实际角色、人员、组织的关联关系。分为功能菜单、数据资源、API接口三个标签，分别为这三个权限资源赋予权限。

3操作步骤

权限的同步是一个整体的过程，首先需要将基础数据的数据进行同步和分发后，再将对应的权限的关联关系进行同步，过程如下所示：

1.数据同步：将HR系统中组织、人员数据同步至IDM平台中。

2.数据分发：将IDM的组织、人员数据分发到SMC的系统组件、人员中。

3.权限同步：在IDM平台配置SMC的功能菜单以及角色信息，通过手动同步的方式将权限数据同步至SMC。

3.1数据同步

数据同步是将不同系统或应用中的用户信息和权限信息进行整合和更新，以保证用户在不同平台上的身份和权限一致。数据同步可以提高用户体验，降低管理成本，增强安全性。

数据同步需要将HR系统中的组织以及人员通过调用流程方式,将组织以及人员同步到IDM身份管理平台。

3.2数据分发

数据分发是将不同系统的用户信息和权限信息同步到IDM平台，以实现统一的身份认证和授权管理。数据分发可以通过配置文件或接口的方式进行，具体的实现方式取决于各个系统的特点和需求。

数据分发需要将IDM系统中的组织以及人员通过生成任务方式,将组织以及人员同步到ESB应用集成平台。

3.3权限同步

权限同步是将不同系统或应用的用户权限信息同步到IDM平台中，以便进行统一的管理和控制，这样可以避免权限冲突、重复或遗漏，提高安全性和效率。

数据分发需要在IDM平台配置SMC的功能菜单以及角色信息，通过手动同步的方式将权限数据同步至SMC。

4测试验证

下面对于权限下发的整体流程进行测试，主要分为同步测试，分发测试，权限测试三个方面进行介绍。

4.1同步分发

1.组织同步测试

调用单条组织同步流程时，如果在ESB的应用集成中调用只能同步分发单条数据，选择IdmOrgSync，输入code编码点击调用,调用后输出响应为成功。

并且IDM身份管理平台中出现了该数据。

2.人员同步测试

调用单条人员同步流程时，如果在ESB的应用集成中调用只能同步分发单条数据，选择IdmPerSync，输入code编码点击调用,调用后输出响应为成功。

并且IDM身份管理平台中出现了该数据。

4.2手动分发

1.组织分发测试

IDM中使用生成任务的形式进行同步分发,在关联应用时要选择ESB平台,然后选择对应的流程后点击提交。

在ESB管理控制台的组织机构中可以看到刚刚分发的组织。

2.人员分发测试

在IDM中使用生成任务的形式进行同步分发,在关联应用时要选择ESB平台,然后选择对应的流程后点击提交。

在ESB管理控制台的人员管理中可以看到刚刚分发的演示人员。

4.3权限下发

角色权限的下发有规范顺序，需要先发组织，确保下游系统有实际角色的组织，然后发标准角色，再发实际角色，最后发权限。

4.3.1角色同步

1.标准角色同步

在IDM标准角色模块，新建应用集成平台的标准角色。

在IDM对刚刚的标准角色进行生成任务, 选择任务权限分发流程，选择对应的分发系统，保存，提交。

然后到ESB平台的角色管理中查看角色是否分发下去。

2.实际角色同步

在IDM实际角色模块,将刚刚的标准角色与组织进行关联。

同时对实际角色的人员进行关联新增。

选择对应的实际角色，选择生成任务的方式进行分发（具体与标准角色分发一致）。

查看ESB 的组织结构中的对应分组的角色信息，可以看到实际角色以已经分发完成。

4.3.2权限下发

在ESB管理控制台的功能管理中可以对刚刚下发的权限进行查看，下发之前没有权限。

标准角色、实际角色下发完成后，对权限进行下发，在授权管理中选择一个功能菜单，将刚刚下发的标准角色，实际角色，用户，以及分组都添加进去。

添加完成后在工作任务模块中会生成一个工作任务，选择权限下发流程并提交。

下发后权限都显示出来了。

ESB权限接收到后需要对权限进行测试，首先要为人员账号设置密码。

在ESB人员管理中选择刚刚分发的组织，会查看到与刚刚下发实际角色时关联的用户信息。选中点击重置按，将密码进行重置。

打开一个无痕窗口，用该账号密码进行登录，会显示对应的账户权限。

5总结说明

总体而言，IDM身份管理平台统一权限为企业带来了诸多显著优势。首先，通过IDM系统的统一权限应用，企业实现了对用户身份的全面掌控，这不仅有助于确保每位用户获得适当的权限，而且有效降低了潜在的安全风险。统一权限的应用使得企业能够更加灵活、精准地分配和调整权限，从而提高了整体安全性。

IDM身份管理平台与下游系统密切相关，是确保权限管理流程顺畅的关键一环。首先，通过IDM系统与企业内部各个下游系统的集成，可以实现一次性的身份认证，员工只需登录一次即可访问多个系统，极大地提高了工作效率，这种无缝集成的体验使得员工在日常工作中更加便捷地获取所需权限，从而更加专注于业务操作而非繁琐的身份验证流程。

5.1过程总结

在实施IDM统一权限的过程中，组织、角色和权限的分发是一个关键的环节。首先，企业需要建立清晰的组织结构，将员工划分到不同的组织单元中，以便更好地管理和控制权限。通过IDM系统，用户可以轻松地创建、编辑和删除组织，实现对组织结构的灵活调整。同时，将员工按照其工作职责划分到相应的角色中，为不同层级和部门的员工分配特定的角色，实现权限的精细化控制。

总体而言，在IDM统一权限的过程中，组织、角色与权限的分发是一个相互关联的系统工程。通过精心设计和调整组织结构，合理划分角色，巧妙分发权限，企业可以最大限度地提高权限管理的精细度，为员工提供安全、便捷的工作环境，这一过程的成功实施将直接影响到企业整体的信息化管理水平和安全性。